在本实验中,你将学习如何管理 SELinux 文件上下文,以确保 Apache Web 服务器等服务能够访问必要的文件。你将了解 Security-Enhanced Linux (SELinux) 如何将安全标签(称为上下文)应用于文件,以及不匹配的上下文如何导致访问拒绝错误,即使标准文件权限看起来是正确的。这种实践经验旨在培养你在 Linux 环境中排除常见安全问题的实际技能。
在整个过程中,你将安装 Apache,验证 SELinux 是否处于 enforcing 模式,并观察正确放置的网页的默认上下文。然后,你将通过将一个上下文不正确的文件移动到 Web 根目录来故意触发“Forbidden”错误。为了解决这个问题,你将使用 chcon 命令重新标记文件,演示一种修复 SELinux 上下文相关问题的基本方法,并恢复服务的正常功能。
在此步骤中,你将首先确保你的环境配置正确。这包括验证 SELinux(Linux 内核中的一个关键安全模块)是否处于 enforcing 模式。然后,你将安装 Apache Web 服务器,它将在本次实验中用于演示 SELinux 上下文的工作方式。
首先,让我们检查 SELinux 的状态。你可以使用 sestatus 命令来完成此操作,该命令提供详细的概述,或者使用 getenforce 命令直接获取答案。
运行 getenforce 查看当前模式:
getenforce该命令应返回 Enforcing,这意味着 SELinux 正在积极保护你的系统。
Enforcing如果它返回 Permissive,则表示 SELinux 正在记录警告但不阻止操作。如果它返回 Disabled,则表示 SELinux 已完全关闭。对于本次实验,它必须是 Enforcing。你的实验环境已预先配置为 Enforcing 模式。
接下来,你将安装 Apache Web 服务器,在 CentOS/RHEL 系统上,它的软件包名称是 httpd。使用 yum 包管理器进行安装。-y 标志会自动回答“yes”来确认任何提示。
sudo yum -y install httpd你将看到 yum 解析依赖项并安装软件包的输出。成功安装将以“Complete!”消息结束。
...
Installed:
httpd-2.4.x-xx.el8.x86_64
...
Complete!安装完成后,你需要启动 Apache 服务使其运行。使用 systemctl 来管理服务。
sudo systemctl start httpd为了确认 Apache 服务是否正常运行,请检查其状态:
sudo systemctl status httpd输出应显示服务为 active (running)。
● httpd.service - The Apache HTTP Server
Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled; vendor preset: disabled)
Active: active (running) since ...
...按 q 退出状态视图并返回到命令提示符。你的环境现在已准备好进行下一步。
在此步骤中,你将创建一个简单的网页,并使用你刚安装的 Apache 服务器来提供该网页。此过程将演示 SELinux 如何自动为在特定、策略定义的目录中创建的文件分配正确的安全上下文,从而允许服务无障碍地访问它们。
Apache 的默认 Web 内容目录是 /var/www/html。如果放置在此目录中的文件的权限和 SELinux 上下文都正确,则可以通过 Web 浏览器访问它。
让我们直接在 /var/www/html 中创建一个简单的 index.html 文件。由于此目录归 root 用户所有,因此你必须使用 sudo 才能写入。标准的 sudo echo 命令配合重定向 (>) 将无法正常工作,因为重定向是由你当前的 shell 处理的,而你的 shell 缺乏权限。要解决此问题,你可以使用 sudo sh -c '...' 在 root shell 中运行命令。
执行以下命令创建文件:
sudo sh -c 'echo "Welcome to Apache on LabEx" > /var/www/html/index.html'现在,让我们验证 Web 服务器是否可以访问并提供此新页面。你可以使用 curl,一个用于通过 URL 传输数据的命令行工具,从 localhost 请求该页面。
curl http://localhost你应该会在终端中看到你的 index.html 文件的内容被打印出来,这证实了 Apache 正在运行并且可以读取该文件。
Welcome to Apache on LabEx那么,为什么这一切都能顺利进行呢?答案在于文件的 SELinux 上下文。当你创建文件时,SELinux 会根据父目录的策略为其分配一个上下文。让我们使用 ls -Z 命令检查你刚刚创建的 index.html 文件的上下文。-Z 选项显示 SELinux 安全上下文。
ls -Z /var/www/html/index.html输出将类似于:
system_u:object_r:httpd_sys_content_t:s0 /var/www/html/index.html此输出中最重要的部分是上下文标签:system_u:object_r:httpd_sys_content_t:s0。此标签由四部分组成:user:role:type:level。对于本次实验,我们关注的是 类型,即 httpd_sys_content_t。
Apache ( httpd ) 的 SELinux 策略明确允许以 httpd_t 类型运行的进程访问以 httpd_sys_content_t 类型标记的文件。由于你直接在 /var/www/html 中创建了文件,它继承了正确的默认上下文,一切都如预期般工作。
在此步骤中,你将看到当具有错误 SELinux 上下文的文件被移动到 Apache Web 目录时会发生什么。这是一个常见场景,如果你不了解 SELinux 上下文如何与 mv 等文件操作协同工作,可能会感到困惑。与直接在目录中创建文件(这会导致它继承父目录的默认上下文)不同,移动文件会保留其原始上下文。
首先,让我们在当前工作目录 ~/project 中创建一个新的网页 page2.html。
echo "This is Page 2" > page2.html现在,检查此新文件的 SELinux 上下文。由于它是在你的主项目目录中创建的,它将获得分配给用户文件的默认上下文。
ls -Z page2.html输出将显示上下文类型为 user_home_t 或类似的类型,这是用户主目录中文件的默认设置。
system_u:object_r:user_home_t:s0 page2.html请注意类型是 user_home_t。这与 Apache 允许访问的 httpd_sys_content_t 不同。
接下来,使用 mv 命令将此文件移动到 Apache Web 根目录。你需要 sudo,因为目标目录 /var/www/html 是由 root 拥有的。
sudo mv page2.html /var/www/html/mv 命令会保留源文件的 SELinux 上下文。让我们通过检查文件在其新位置的上下文来验证这一点。
ls -Z /var/www/html/page2.html正如你所见,上下文没有改变。即使文件现在位于 /var/www/html 目录中,它仍然是 user_home_t。
system_u:object_r:user_home_t:s0 /var/www/html/page2.html现在,尝试使用 curl 访问此新页面。由于上下文不匹配,SELinux 将阻止访问。
curl http://localhost/page2.html你将从服务器收到“403 Forbidden”错误。这不是传统的文件权限问题;这是 SELinux 在强制执行其安全策略,并拒绝 httpd 进程读取具有 user_home_t 标签的文件。
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /page2.html
on this server.</p>
</body></html>这演示了一个典型的 SELinux 问题。在下一步中,你将学习如何通过更改文件的上下文来解决此问题。
在此步骤中,你将通过手动更改 page2.html 文件的 SELinux 上下文来解决上一步中的“403 Forbidden”错误。你将使用 chcon (change context) 命令,这是一个用于修改文件和目录安全上下文的强大工具。
chcon 命令允许你直接更改 SELinux 上下文的用户、角色、类型或级别。对于本次实验,你只需要更改类型。Apache 可以读取的 Web 内容的正确类型是 httpd_sys_content_t。
要解决此问题,你将使用 chcon 和 -t 标志来指定 page2.html 的新类型。由于文件位于 /var/www/html,因此你需要使用 sudo 来修改其上下文。
运行以下命令来更新 page2.html 的 SELinux 类型:
sudo chcon -t httpd_sys_content_t /var/www/html/page2.html执行完命令后,让我们验证上下文是否已更新。再次使用 ls -Z 来检查文件的安全上下文。
ls -Z /var/www/html/page2.html输出现在应该显示类型已从 user_home_t 更改为 httpd_sys_content_t。
system_u:object_r:httpd_sys_content_t:s0 /var/www/html/page2.html在设置了正确的 SELinux 上下文后,Apache 现在应该能够访问并提供该文件。让我们通过再次使用 curl 发出请求来测试这一点。
curl http://localhost/page2.html这次,命令应该会成功,你将在终端中看到你的网页内容被打印出来。
This is Page 2你已成功诊断并解决了与 SELinux 相关的访问问题。你了解到移动文件会保留其原始上下文,并且 chcon 可用于手动调整上下文以符合安全策略,从而授予 Apache 等服务访问权限。需要注意的是,使用 chcon 所做的更改在完全文件系统重新标记时可能不会保留;通常使用 restorecon 命令来应用默认的、策略定义的上下文。
在此实验中,你学习了如何为 Apache Web 服务器管理 SELinux 文件上下文。你首先验证了 SELinux 处于 Enforcing 模式,然后安装并启动了 httpd 服务。你观察到直接在 Apache Web 根目录 (/var/www/html) 中创建的文件会自动分配正确的 httpd_sys_content_t 上下文,这是 Apache 正确访问和提供这些文件所必需的。
本次实验的核心展示了错误文件上下文的后果。通过将一个文件从用户主目录(具有 user_home_t 上下文)移动到 Web 根目录,你触发了 SELinux 拒绝,导致了“403 Forbidden”错误。然后,你学会了使用 chcon 命令手动将文件的上下文更改为正确的 httpd_sys_content_t 类型来解决此访问问题,成功恢复了访问,并强化了正确的ファイル上下文对于服务在强制执行的 SELinux 策略下正常运行至关重要的原则。